不使用运营商的 DNS 就不能上网，真是耍流氓阿！！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2766 天前的主题，其中的信息可能已经有所发展或是发生改变。

福建移动。竟然只能用它的 DNS 服务器。换成 114 的就不能上网， ping 都 ping 不通。 ping ip 是正常的。换了所有已知的公共 dns 没有一个可以上网的。

修改公共的 dns ，没有报错，没有任何的提示。倒是运营商的有一句提示：

daemon.warn dnsmasq[5071]: nameserver 211.138.151.161 refused to do a recursive query

怎么才能改呢？自建 dns 呢？但是又考虑，国外 dns 解析，把网易云音乐给解析到香港了。蒙蔽！！

DNS

ping

上网

211.138.151.161

42 条回复 • 2017-04-25 18:04:01 +08:00

shoaly

2017-04-22 12:20:53 +08:00

一个翻墙软件都支持远端解析 dns

izhaohui

2017-04-22 12:21:20 +08:00 via Android

运营商的很多 dns 只响应来自此运营商得查询请求，联通的 116 也是。不能在各种云上搭 dns server 使用这些 dns 做上游。只能搭在运营商网络下。

xujif

2017-04-22 12:22:16 +08:00

走非 53 端口不就好了，或者 tcp

xxxbi

2017-04-22 12:22:44 +08:00 via iPhone

@izhaohui 胡说八道

21grams

2017-04-22 12:24:22 +08:00

这么流氓？把 53 端口给封了？

izhaohui

2017-04-22 12:27:14 +08:00 via Android

@xxxbi 至少我验证过 116 ，你这番胡说就否定了我，厉害👍

linkbg

2017-04-22 12:31:56 +08:00

@shoaly 远端解析，已经实现了，但是像网易云音乐这个东西，居然解析到香港的 ip 。就用不了。
@izhaohui 的确是这样的。
@21grams 非常流氓。

jasontse

2017-04-22 12:55:16 +08:00 via iPad

@xxxbi 不知道别瞎扯淡，电联绝大部分都会给自己省的 DNS 部署 BCP38 防火墙不让外省查询以降低 DNS 放大攻击。

Humorce

2017-04-22 12:58:39 +08:00 via Android

dnsmasq 配置网易云用运营商 dns 解析

izhaohui

2017-04-22 13:09:10 +08:00 via Android

我尝试过搭在阿里云上，自编新版 dnsmasq 使用 add-subnet 参数启用 edns ，配合阿里 DNS ，再用一份 dns china list ，又套了一层 dnscrypt 开放给我的宽带用，基本解决了污染和 cdn ，但是感觉这么麻烦不如搭建在本地，后来就没用过了

commoccoom

2017-04-22 13:39:10 +08:00

工信部投诉试试。就说运营商强制客户使用其 dns 服务。

shoaly

2017-04-22 14:06:46 +08:00

@linkbg 那是因为你服务器确实在香港吧, 找一个国内的服务器的, 也就是反向入墙服务.... 现在也很火啊, 美国那些个莘莘学子都靠入墙服务看优酷, 听音乐呢

treo

2017-04-22 14:10:38 +08:00

看标题就知道是移动

21grams

2017-04-22 14:14:29 +08:00 via Android

我估计以后其他运营商都会这么搞，符合中央的精神。

aru

2017-04-22 14:18:15 +08:00

@linkbg https://www.v2ex.com/t/350162

yexm0

2017-04-22 14:30:03 +08:00

深圳联通把 8.8.8.8 8.8.4.4 114.114.114.114 也给劫持了.

ScotGu

2017-04-22 14:33:01 +08:00

运营商这么做只是为了方便调度，让资源尽量走内网。
不过有一些运营商会劫持 UDP53 转到自己的 DNS 返回。
也就是用户用任何 DNS 实际都是内部指定 DNS 返回结果。
解决办法可以在自由网络自建非 53 端口的 DNS 服务，本地使用某转发服务获取结果。
可以使用 DNSmasq 搭建一个自定义转发 DNS 。

KCheshireCat

2017-04-22 15:46:52 +08:00

别的不说，浙江移动应该是对 udp53 端口无差别劫持了

请求任意 IP 的 53 端口都会被劫持

建议使用 tcp 查询或者 httpdns ，可以看我发帖记录。

sbbeta

2017-04-22 16:08:27 +08:00 via Android

@commoccoom 没用的，会叫你退网退费的！哈哈，移动就是屌

d7101120120

2017-04-22 16:30:43 +08:00

试试 Pcap DNSProxy

xxxbi

2017-04-22 17:33:11 +08:00 via iPhone

北京歌华实测任何 dns 都能用联通电信移动都可以随便用

xxxbi

2017-04-22 17:37:07 +08:00

nslookup www.bing.com 114.114.114.114
服务器: public1.114dns.com
Address: 114.114.114.114

非权威应答:
名称: cn.a-0001.a-msedge.net
Addresses: 202.89.233.103
202.89.233.104
Aliases: www.bing.com

nslookup www.bing.com 219.141.136.10
服务器: BJDX-DJT-DNSCACHE
Address: 219.141.136.10

非权威应答:
名称: cn.a-0001.a-msedge.net
Addresses: 202.89.233.103
202.89.233.104
Aliases: www.bing.com

nslookup www.bing.com 202.106.0.20
服务器: c2-shenlujie-ns2
Address: 202.106.0.20

非权威应答:
名称: cn.a-0001.a-msedge.net
Addresses: 202.89.233.103
202.89.233.104
Aliases: www.bing.com

nslookup www.bing.com 8.8.8.8
服务器: google-public-dns-a.google.com
Address: 8.8.8.8

非权威应答:
名称: a-0001.a-msedge.net
Addresses: 204.79.197.200
13.107.21.200
Aliases: www.bing.com
www-bing-com.a-0001.a-msedge.net

redsonic

2017-04-22 18:16:53 +08:00

@21grams 已经开始搞了，为了满足劫持后的可靠性，有些地方的 DNS 已经跑在 NFV 上面了，不强迫你们用他们年终总结怎么写。
@yexm0 对，攻击流量也劫持了， google 应该是哭还是笑。

mytsing520

2017-04-22 19:32:58 +08:00

@KCheshireCat 因为工作业务关系，和移动有一些业务交集。移动有个服务，叫网络优化，工作原理是在本省建立缓存服务器，在省级 DNS 上，主动建立相关域名的解析指向，在本省范围内，对指定域名发起请求，全部指向指定的解析结果，以完善网络质量优化。各省移动都给各自的 NOC 下达过相应的指标，每年要对多少网站完成网络优化的合作等等。

至于 114 的劫持，实际上，你们 nslookup ip.dnspod.net 看到的结果，就是向权威 DNS 发起解析请求的服务器，你会发现，即便强制通过 114 或 4 个 8 向这个地址发起请求，返回的地址也一样，下面补张图就能说明一切：

mytsing520

2017-04-22 19:36:41 +08:00

再来张通过 TCP 方式的

mytsing520

2017-04-22 19:38:37 +08:00

@KCheshireCat 112.13.174.x 开头的是新浪自己在移动 IDC 部署的缓存服务器，加上网络优化，结果你懂的

z99123

2017-04-23 00:37:20 +08:00

@yexm0 深圳联通劫持这么多 DNS 这是干嘛呢

liaoyaoheng

2017-04-23 08:49:33 +08:00

@xujif 如何强制走 TCP ，有什么能直接修改 win10 的方法？谢

bclerdx

2017-04-23 14:39:21 +08:00

@KCheshireCat 这个图我没有看出来浙江移动是怎么劫持 UDP 53 的？请详细说明一下，谢谢！

bclerdx

2017-04-23 14:42:56 +08:00

@xxxbi 请问北京歌华有线宽带的家庭宽带的拨号方式、网络架构和默认分配的 DNS 服务器是几个？分别是什么。谢谢！

bclerdx

2017-04-23 14:47:57 +08:00

@mytsing520 我艹，为什么通过浙江杭州电信 DNS 服务器和 114 的 DNS 服务器解析的 ip.dnspod.net 域名的对应 IP 是一样的呢？另外，您用宽带线路是哪个省的中国移动宽带呢？

bclerdx

2017-04-23 14:48:36 +08:00

@mytsing520 我怎么感觉移动是利用了类似 DNSMAQ 技术来实现 UDP 劫持的呢？

KCheshireCat

2017-04-23 15:13:22 +08:00

@bclerdx #29 很简单啊， 193.1.1.1 这个 ip 上没有 dns 服务，那这个 dns 响应是哪里来的呢？而且只要 9ms ，好奇的话你可查一下这个 ip 归属地在哪里

bclerdx

2017-04-23 15:40:44 +08:00

@KCheshireCat 你的意思是说如果浙江移动没有对 DNS 查询的 UPD 53 劫持的话，如果一个域名被一个没有 DNS 服务的 IP 去解析的话，应该是不会在 Answer Section 部分有解析出来相应的 IP 结果出来的，我理解的对么？否则的话，就是中国移动人为、且故意这么配置的。其目的是加速走内网处理，而减少对外网或跨网跨运营商的解析请求，从而减少跨网、跨运营商的流量结算费用？

mytsing520

2017-04-23 15:43:31 +08:00

@bclerdx http://www.114dns.com/node.html ，供参考
另外，前段时间在 V2 上爆出来的移动内部客服培训材料的帖子，应该对回答你的问题有帮助

xxxbi

2017-04-23 15:55:34 +08:00 via iPhone

@bclerdx 211.99.143.33 58.30.131.33

xxxbi

2017-04-23 16:03:02 +08:00

@bclerdx dhcp 无需拨号，网络架构就是都走电信。

bclerdx

2017-04-23 16:31:42 +08:00

@xxxbi 那你入户的是同轴电缆？歌华给你的设备是什么名称？

bclerdx

2017-04-23 16:31:58 +08:00

@xxxbi 多谢了。

blessme

2017-04-23 19:17:16 +08:00

从标题看应该是移动的网。

xvx

2017-04-24 11:24:49 +08:00 via Android

我这里好像都直接反代了。
用其他 DNS 得到的 IP 地址能 ping 通，但就是上不了，换成运营商自家的，得到的 IP 地址都是运营商旗下的 IP 。
据我的观察，主要是两个 IP 地址，一个是北京的，一个是深圳的，运营商的 DNS 将所有网站都解析到这两个 IP 上。 HTTPS 的网站竟然都能正常上，没报任何证书错误。
不知道是不是直接被反代了，所有网站流量都必须经过反代服务器过滤。
想想都觉得可怕。

njs02

2017-04-25 18:04:01 +08:00

现在代理都不太好用。